پنج راهکار برای مدیریت بهتر ریسک های امنیت سایبری – حفظ اعتبار سازمان ها با تست نفوذ

ریسک های امنیت سایبری چیست؟ سیاست‌های بیمه امروز، مثل بیمه‌ی سلامت، بیمه‌ی خودرو یا بیمه‌ی مسکن، راه‌هایی هستند که به کاربران کمک می‌کنند از خودشان در مقابل ضررهایی مثل ضرر ناشی از سیل یا تعمیر خودرو پس از تصادفی جزئی حفاظت نمایند. خریداری کردن این سیاست‌های بیمه تضمین نمی‌کند که افراد از ضررهای احتمالی ایمن باشند، اما لایه‌ای حفاظتی و آرامش خاطر بیشتری را برای آن‌ها به ارمغان می‌آورد.

مدیریت ریسک های امنیت سایبریی نیز تا حدی شبیه به سیاست بیمه‌ است. در این راهنما، بیان می‌شود که ایجاد یک فرهنگ سازمانی که به اقدامات امنیتی داخلی احترام بگذارد چه اهمیتی دارد و توصیه‌هایی ارائه می‌شود که به کاربران کمک کند مدیریت ریسک سایبری را شروع نمایند.

مدیریت ریسک های امنیت سایبری چیست؟

مدیریت ریسک امنیت سایبری فرایندی است مربوط به شناسایی ریسک‌هایی که سازمان‌ها با آن‌ها مواجه می‌شوند و سپس اولویت‌بندی و انتخاب تکنولوژی‌های کنترل امنیتی، بهترین راهکارها و سیاست‌هایی برای کاهش یا از بین بردن این ریسک‌ها. درست همان‌گونه که هیچ بیمه‌ی خودرویی نمی‌تواند تضمین کند که کسی تصادف نخواهد کرد، هیچ سازمانی هم نمی‌تواند به‌طور کامل تمام آسیب‌پذیری‌ها سیستم خود را از بین ببرد یا جلوی تمام حملات سایبری را بگیرد. مدیریت ریسک امنیت سایبری به سازمان‌ها کمک می‌کند که به ریسک‌هایی بپردازند که بیشترین تأثیر را روی عملیات‌شان دارند.

انعطاف‌ پذیری سایبری چیست و دلایل شکست امنیت سایبری یک سازمان

ویدیوهای بیشتر درباره امنیت سایبری

هرچقدر سازمان در مورد تهدیداتی که بیشترین احتمال را برای تأثیرگذاری روی سازمان دارد و در مورد آسیب‌پذیری‌های موجود در زیرساخت‌ اطلاعات بیشتری داشته باشد، بهتر می‌تواند ریسک را کاهش داده و در صورت رخداد یک حادثه‌ی امنیتی نتایج را بهینه‌سازی نماید.

ایجاد فرهنگی برمبنای امنیت

بخش امنیت اطلاعات همواره کارهایی را که در جهت تغییر و تحول دیجیتال هستند را کنترل می کند، وقتی ریسک مربوطه ارزیابی و درک می‌شود، افسرهای ارشد امنیت اطلاعات یا CISOها می‌توانند به جای نه گفتن، کسب‌وکار سازمان ها را به سمت جلو ببرند.

نکته‌ی کلیدی این است که یک ارزیابی جامع از ریسک اتفاق بیفتد و آسیب‌پذیری‌هایی که هر پیاده‌سازی و تغییر در معماری نشان می‌دهد، درک شوند. در یک مطالعه که توسط شرکت‌های IDC و CapGemini انجام شده و Modern, Connected CISO نام دارد، بیان می‌شود که CISOها اکنون در تصمیمات بزرگ کسب‌وکار دخیل هستند و 25 درصد از مدیران کسب‌وکار باور دارند که CISOها به‌طور فعال و پیشگیرانه تغییروتحول دیجیتال را ممکن می‌سازند که این یک هدف کلیدی برای 895 مورد از سازمان‌هایی بود که IDC مورد مطالعه قرار داد.

ایجاد یک فرهنگ برای مدیریت ریسک امنیت سایبری کمک می‌کند که کارمندان با مدیریت تعریف‌شده همگام شوند، وقتی که ریسک درک شد، می‌توان اولویت‌ها را مدیریت کرد و سازمان می‌تواند سریع‌تر جلو برود و تغییرات مثبت و لازم را اعمال نماید.

در مقابل، پیشروی با سرعت خیلی زیاد بدون درک ریسک‌ها و آسیب‌پذیری‌های سازمان می‌تواند سازمان را تحت تأثیر آسیب شدید از یک حمله‌ی سایبری موفق قرار دهد. راه حل این است که کارمندان بیشتری مشارکت کنند و از فرهنگ آگاهی از امنیت حمایت نمایند. آموزش یکی از ارکان اصلی ایجاد و ارتقای فرهنگ آگاهی از امنیت است. بازگشت سرمایه برای انجام این کار می‌تواند قابل‌توجه باشد، یک حمله‌ی سایبری موفق می‌تواند میلیون‌ها دلار برای برند سازمان، اعتبار آن و تجربه‌ی کاربری کاربران ضرر داشته باشد و موجب از دست رفتن درآمد، کاهش سودآوری و تأثیر منفی روی عملیات کلیدی شود.

بهترین راهکار برای مدیریت ریسک باید شامل تکنولوژی، فرایندها و افراد متخصص باشد. اعضای تیم باید در آموزش منظم و مداوم امنیت سایبری شرکت کنند. تمامی اعضای تیم باید درک کنند که چگونه می‌بایست ریسک‌های سایبری سازمان را به حداقل رساند. ریسک‌های سایبری که کارمندان می‌توانند از طریق آموزش بیشتر کاهش دهند شامل آسیب‌پذیری نسبت به مهندسی اجتماعی، Phishing و آسیب‌پذیری‌هایی است که به‌طور تصادفی یا عمدی ایجاد می‌شوند.آسیب مالی و اعتباری یک حمله‌ی سایبری موفق بدین معنا است که حتماً باید سیاست‌های امنیت سایبری سازمان اعمال گردد.

تغییر به سوی کار از راه دور

سیاست‌های امنیتی باید برای هر فردی که به اطلاعات دیجیتال دسترسی داشته، به دقت در سازمان اعمال شوند، این اعمال سیاست همچنین باید برای شرکای خارجی و کارمندانی که از هر جای دیگری کار می‌کنند اتفاق بیفتد.

استفاده‌ی سریع از شرایط کاری دورکاری یا WFA در طول همه‌گیری جهانی بیماری کووید-19، موجب شده است که بسیاری از سازمان‌ها در معرض ریسک‌ها و آسیب‌پذیری‌های خیلی بیشتری از گذشته قرار بگیرند. WFA به کارمندان از راه دور، از Endpointهای مختلفی، هم سازمانی و هم شخصی دسترسی به منابع شرکتی را ارائه می‌دهد. این Endpointها می‌توانند شامل لپ‌تاپ‌ها و همچنین دستگاه‌های موبایل باشند. Stack امنیت سایبری و فرایندهایی که در چارچوب سازمان مورد استفاده قرار می‌گیرند، معمولاً از این محیط WFA پشتیبانی نمی‌کنند، زیرا برای حفاظت از کارمندان On-Premise طراحی شده است.

بیشتر بخوانید: راهکارهای امنیتی دورکاری در زمان کرونا

اکثر آسیب‌پذیری‌های جدیدی که به واسطه‌ی WFA ایجاد شده است برای تیم‌های عملیات امنیتی و فناوری اطلاعات‌ ناشناخته هستند یا تأثیری که ممکن است بگذارند دست کم یا شاید نادیده گرفته می‌شود. تمامی این موارد باعث می‌شوند که ریسک امنیت سایبری این سازمان‌ها شدیداً افزایش پیدا کند. در محیط امروز، بسیاری از سیاست‌ها و قابلیت‌های امنیت سایبری بیش‌ازپیش حیاتی شده‌اند.

پنج راهکار برای مدیریت بهتر ریسک های امنیت سایبری

فارغ از اینکه سازمانی به‌تازگی مدیریت ریسک سایبری را آغاز کرده باشد تا سابقه‌ای طولانی‌مدت در این زمینه داشته باشد، این توصیه‌ها کمک می‌کند که بهتر از سازمان خود در مقابل حملات سایبری حفظت نماید.

1. استفاده از یک چارچوب امنیت سایبری

چارچوب‌های امنیت سایبری مثل ISO/ IEC 27001/27002 به ریسک‌های کسب‌وکار پاسخ داده و به بهبود دفاع سایبری کلی کمک می‌کند. بنا به یک پژوهش انجام شده توسط موسسه‌ی Dimensional Research، 84 درصد از سازمان‌ها در ایالات‌متحده از نوعی چارچوب امنیتی استفاده می‌نمایند. 44 درصد از پاسخ‌دهندگان گزارش داده‌اند که از بیش از یک چارچوب امنیتی استفاده می‌نمایند.

از دیگر چارچوب‌های امنیت سایبری مهم می‌توان به موارد زیر اشاره کرد:

• موسسه‌ی ملی چارچوب امنیت سایبری استانداردها و تکنولوژی NIST CSF راهنمایی فوق‌العاده‌ای را برای درک فعالیت‌های ضروری جهت پاسخ دادن به ریسک و کاهش آن ارائه می‌کند.
• مرکز کنترل‌های امنیتی حیاتی امنیت اینترنت CIS که شامل 20 کنترل امنیتی حیاتی می‌باشد که به‌عنوان بهترین راهکارها برای کاهش ریسک حمله‌ی سایبری موفق پیشنهاد شده‌اند.

2. تعریف یک فرایند ارزیابی ریسک مداوم

یک فرایند ارزیابی ریسک باید نشان دهد که سازمان چگونه خود را برای ارزیابی ریسک آماده می‌کند، ارزیابی ریسک را انجام می‌دهد، نتایج آن را به اعضای دیگر تیم در سازمان منتقل می‌کند و به‌طور منظم فرایند ارزیابی ریسک را در طول زمان حفظ می‌نماید.

آماده‌سازی برای ارزیابی ریسک شامل موارد زیر است:

• تعریف دقیق حوزه و فرض‌ها یا محدودیت‌های کلیدی در ارزیابی
• شناسایی منابع اطلاعاتی که برای انجام ارزیابی مورد استفاده قرار می‌گیرند
• تعریف ارزیابی‌های ریسک و رویکرد تجزیه‌وتحلیلی که باید در طول ارزیابی مورد استفاده قرار بگیرد
• ساختاردهی به ارزیابی ریسک جهت رسیدگی به قوانین تطبیق‌پذیری که روی سازمان تأثیر می‌گذارند؛ این قوانین الزامات مختلفی برای ارزیابی ریسک و گزارش‌گیری دارند

بیشتر بخوانید: هک شدن ابزارهای تست نفوذ شرکت FireEye، بزرگترین شرکت امنیت سایبری

فرایند ارزیابی ریسک مداوم باید شامل موارد زیر باشد:

• شرحی کلی از محیطی که تصمیمات مبتنی بر ریسک در آن اتخاذ می‌شوند
• درک اینکه سازمان چگونه ریسک را ارزیابی می‌کند. براساس گفته‌ی سازمان NIST، ریسک یعنی احتمال اینکه یک تهدید آسیب‌پذیری یک دارایی را Exploit کند و نتیجه‌ای که رخداد این تهدید روی سازمان می‌گذارد
• یک برنامه و فرایند برای اینکه وقتی ریسک براساس نتیجه‌ی یک ارزیابی ریسک مشخص شد، سازمان چگونه به آن پاسخ می‌دهد
• فرایندی برای اینکه سازمان چگونه ریسک را در طول زمان مانیتور می‌کند
• فرم و ساختار مستندات و خروجی فرایند ارزیابی ریسک

سیستم‌ها و شبکه‌های فناوری اطلاعات به‌طور مداومی در حال تغییر هستند. برنامه‌های کاربردی نرم‌افزاری بروزرسانی می‌شوند و کارمندان جدیدی وارد سازمان می‌گردند.

همیشه ریسک‌های جدیدی پیدا می‌شوند و حتی ریسک‌هایی که قبلاً حل‌وفصل شده‌اند ممکن است دوباره با استفاده از آسیب‌پذیری‌های جدید، متولد شوند. آسیب‌پذیری‌های جدید نیز همیشه ایجاد می‌گردند.

3. استفاده از هوش تهدیدات جهت اولویت‌بندی بهتر ریسک‌ها برای سازمان

هوش تهدیدات اطلاعات بسیار به‌روزی را در مورد تهدیدات کنونی که بیشترین احتمال تأثیرگذاری روی سازمان‌ها را دارند و همچنین در مورد مکان جغرافیایی و صنعت ارائه می‌دهد. هوش تهدیدات می‌تواند به سازمان این توانایی را بدهد که تغییرات مهمی را در ارزیابی ریسک کنونی خود اعمال کنند تا از تهدیدات خطرناکی که به‌تازگی ایجاد شده‌اند اجتناب نمایند. 43 درصد از شرکت‌هایی که توسط SC Media بررسی شدند بیان داشتند که انتظار دارند هوش تهدیدات هشدارهایی از تهدیدات یا تاکتیک‌های جدید را ارائه کند، 9 درصد فکر می‌کردند که هوش تهدیدات مزایایی مثل کمک به بررسی رخداد دارد و 23 درصد احساس می‌کردند که هوش تهدیدات در کشف Exploitها یا آسیب‌پذیری‌های جدید مفید است که روی تکنولوژی‌های مورد استفاده‌ی سازمان تأثیر می‌گذارند.

داده‌های هوش تهدیدات جمع‌آوری، مرور و تجزیه‌وتحلیل می‌شود تا اعضای تیم امنیت و اطلاعات بتوانند سریع‌تر تصمیماتی را مبنی بر داده‌هایی که در اختیار دارند در مورد تهدیداتی که ممکن است روی سازمان تأثیر بگذارند، اتخاذ کنند. هوش تهدیدات شامل داده‌هایی در مورد گروه‌های تهدید و حملاتی است که در حال رخ دادن می‌باشند. داده‌های هوش تهدیدات ممکن است شامل رفتارهای به‌خصوصی از مهاجم مثل تاکتیک‌ها، تکنیک‌ها و فرایندها، مسیرهای حمله‌ی مورد استفاده و علائم نقض امنیتی باشد.

4. بهره بردن از تست نفوذ برای بهترین اطلاعات در مورد آسیب‌پذیری و قرار گرفتن در معرض خطر

تست نفوذ عبارت است از فرایند هک کردن سیستم و شبکه‌ی خود برای شناسایی و افشای آسیب‌پذیری‌ها از چندین نقطه‌نظر مختلف. تست نفوذ توسط اشخاص و شرکت هایی امنیتی انجام می‌شود که در این زمینه متخصص هستند. متخصصان تست نفوذ با دانش کامل کاربر و اجازه‌ی او، به دنبال آسیب‌پذیری‌ها می‌گردند. در هنگام حفاظت از سازمان خود در مقابل هکرهای مخرب، باید مثل آن هکرها فکر کرد تا بتوان پیش‌بینی کرد که چه زمانی ممکن است به سازمان حمله کنند.

این مسئله میزان اهمیت اسکنرهای آسیب‌پذیری را نشان می‌دهد. هرچند این اسکنرها مفید هستند، اما کافی نیستند و آسیب‌پذیری‌هایی که جدید کشف می‌شوند را تشخیص نمی‌دهند. گاهی اوقات آسیب‌پذیری‌ها آن‌قدر پیچیده هستند که یک ابزار خودکارسازی‌شده نمی‌تواند آن‌ها را پیدا کند. مثبت‌های کاذب در این اسکنرها بسیار رخ می‌دهد، مخصوصاً در زیرساخت‌های بزرگ. در زمان تست کردن آسیب‌پذیری‌ها، نبوغ انسانی بسیار کلیدی است. وقتی بسیاری از افراد به تست نفوذ فکر می‌کنند، معمولاً از منظر قوانین تطبیق‌پذیری به آن می‌نگرند. شاید جالب‌توجه باشد که تطبیق‌پذیری دیگر دلیل شماره‌ی یک برای تست نفوذ محسوب نمی‌شود. در یک مطالعه‌ی جدید، شرکت Bugcrowd به این نتیجه رسید که هرچند 55 درصد از پاسخ‌دهندگان، تطبیق‌پذیری را به‌عنوان یکی از دلایل خود برای تست نام بردند، تنها 16 درصد فقط به دلیل تطبیق‌پذیری تست‌های خود را انجام می‌دهند. درحالی‌که 61 درصد از پاسخ‌دهندگان دلایل تست خود را بهترین راهکارها و کاهش ریسک برشمردند. این نشان می‌دهد که تعهد بیشتری نسبت به تست نفوذ به‌عنوان بخشی از استراتژی مدیریت ریسک امنیت سایبری وجود دارد و همچنین تمرکز کلی روی کاهش ریسک افزایش پیدا کرده است.

از طریق تست نفوذ، سازمان‌ها نسبت به بسیاری از آسیب‌پذیری‌هایی که ممکن است نشانگر ریسک‌های قابل‌توجهی برای زیرساخت و سازمان باشند، دید پیدا می‌کنند. تست نفوذ منظم برای بهینه‌سازی مدیریت ریسک سایبری ضروری است.

5. توجیه عقلانی ابزار برای بهبود بازگشت سرمایه‌ی امنیت سایبری

مدیریت ریسک سایبری به سازمان‌ها کمک می‌کند که شکاف‌های عملکرد را پوشش‌های ناقص را شناسایی کنند. ممکن است همچنین لایه‌های اضافی و غیرضروری در کنترل‌های امنیتی یافت شوند. وقتی که کنترل‌های امنیتی شناسایی شوند، می‌توان آن‌ها را در چارچوب سازمان تجمیع، حذف یا تخصیص مجدد کرد. مدیریت ریسک سایبری می‌تواند کمک کند که این فرایندِ توجیهِ عقلانی ابزار قدرت گیرد تا بتوان با کمترین هزینه قابلیت‌های امنیت سایبری عملیاتی را به حداکثر رساند.

تیم‌ها می‌توانند یک وضعیت امنیتی هدف را مشخص کنند و با روشی دقیق زیرساخت امنیتی موجود را در قیاس با هدف بسنجند. هزینه می‌تواند بخش مهمی از تجزیه‌وتحلیل باشد. هر دلاری که خرج می‌شود باید حفاظت موردنظر سازمان را ایجاد نماید. برخی از تهدیدات و آسیب‌پذیری‌های شناسایی‌شده ممکن است نیازمند کنترل‌های امنیتی دارای همپوشانی باشند که می‌توانند ریسک را مدیریت کرده و آسیب‌پذیری‌هایی که احتمالاً Exploit می‌شوند را کاهش دهند.

شرکت APK با تدوین سیاست های امنیتی و استفاده از ابزارهای پیشرفته و کارشناسان خبره در این زمینه، و همچنین ایجاد ساختارهای کاملا علمی-عملیاتی و در نظر گرفتن حساسیت ها و Business Continuity سازمان ها، اقدام به شناسایی و ارزیابی امنیتی می نماید. ما با انجام تست نفوذ و با در نظر گرفتن تمامی حالت ها و استانداردهای ممکن در این زمینه، آینده روشنی را برای حفظ هر چه بیشتر دارایی و اطلاعات با اهمیت سازمان ها را به ارمغان می آوریم.